一、前言

從這篇文章開始我們開始我們的破解之路，之前的幾篇文章中我們是如何講解怎麼加固我們的Apk，防止被別人破解，那麼現在我們要開始破解我們的Apk,針對於之前的加密方式採用相對應的破解技術，Android中的破解其實大體上可以分為靜態分析和動態分析，對於這兩種方式又可以細分為Java層(smail和dex)和native層(so)。所以我們今天主要來講解如何通過靜態分析來破解我們的apk，這篇文章我們會通過破解Java層和native層的例子來講解。

二、準備工作

在開始今天的文章之前，我們需要準備點東西，

第一、首先是基本知識：

1、瞭解Android中的Apk檔案的結構。

2、瞭解Smail語法和dex檔案格式

3、apk的簽名機制

關於這三個知識點，這裡就不做詳細介紹了，不理解的同學可以自行網上學習，有很多資料講解的。

第二、再者就是幾個重要的工具

1、apktool：反編譯的利器

2、dex2jar：將dex轉化成jar

3、jd-gui：很好的檢視jar檔案的工具

4、IDA：收費的最全破解利器(分析dex和so都可以)

下載地址：http://pan.baidu.com/s/1hqBC7Es

額外：上面四個工具是最基本的，但是現在網上也有一些更好的工具：JEB,GDA等。但是這些工具就是豐富了上面四個工具，所以說我們只要上面的四個工具就足夠了。IDA工具我專門給了一個下載地址，其他的工具在我們提供的案例中。

三、技術原理

準備工作完了，下面就來看一下今天的破解方式介紹：

Android中的破解的靜態分析說重要，也不重要，為什麼這麼說呢？

因為我們到後面會介紹動態分析，那時候我們在破解一個Apk的時候，發現靜態分析的方式幾乎毫無用途，因為現在的程式加固的越來越高階，靜態分析幾乎失效，所以動態分析是必須的，但是要是說靜態分析沒有用，那麼也錯了，因為我們在有些場景下，只有靜態分析能夠開始破解之門，沒有靜態分析之後的結果，動態分析是無法開展的。這個下面會舉例說明。所以說在破解的過程中，靜態分析和動態分析一定會結合在一起的，只有這樣我們才會勇往直前。下面就來看看我們如何通過靜態分析來破解apk.

第一、靜態分析的流程

1、使用apktool來反編譯apk

在這個過程中，我們會發現有些apk很輕易的被反編譯了，但是有些apk每次反編譯都會報各種錯誤，這個也是正常的，因為加固了嗎。現在網上有很多對apk加密的方式，直接讓反編譯就通不過，比如Androidmanifest檔案，dex檔案等，因為apktool他需要解析這些重要的資源，一旦這些檔案加密了那麼就會終止，所以這裡我們暫且都認為apk都能反編譯的，因為我們今天是主要介紹怎麼通過靜態分析來破解，關於這裡的反編譯失敗的問題，我後面會在用一篇文章詳細介紹，到時候會列舉一些反編譯錯誤的例子。

2、得到程式的smail原始碼和AndroidManifest.xml檔案

我們知道一個Android的程式入口資訊都會在AndroidManifest.xml中，比如Application和入口Activity,所以我們肯定會先來分析這個檔案，找到我們想要的資訊，當然這裡還有一個常用的命令需要記住：

adb shell dumpsys activity top

能夠獲取到當前程式的Activity資訊

然後我們會分析smail程式碼，進行程式碼邏輯的修改

3、直接解壓apk檔案得到classes.dex檔案，然後用dex2jar工具得到jar,用jd-gui工具檢視

這裡我們主要很容易的檢視程式碼，因為我們在第二步中得到了smail原始碼，就可以分析程式了，但是我們知道雖然smail語法不是很複雜，至少比彙編簡單，但是怎麼看著都是不方便的，還是看java程式碼比較方便，所以我們藉助jd-gui工具檢視程式碼邏輯，然後在smail程式碼中進行修改即可，上面說到的JEB工具，就加強了jd-gui工具的功能，它可以直接將smail原始碼翻譯成java程式碼，這樣我們就不需要先用jd-gui工具檢視，再去smail原始碼中修改了，藉助JEB即可。

4、如果程式中有涉及到native層的話，我們可以用IDA開啟指定的so檔案。我們還是需要先看java程式碼，找到指定的so檔案，在用IDA來靜態分析so檔案。

第二、用到的技術

上面介紹了靜態分析的流程，下面來看一下靜態分析的幾個技術，我們在靜態分析破解Apk的時候，首先需要找到突破點，找到關鍵的類和方法，當然這裡就需要經驗了，不是有方法可循的。但是我們會藉助一些技術來加快破解。

1、全域性查詢關鍵字串和日誌資訊

這個技術完全靠眼，我們在執行程式之後，會看到程式中出現的字串，比如文字框，按鈕上的文字，toast顯示的資訊等，都可能是重要資訊，然後我們可以在jd-gui工具中全域性搜尋這個字串，這樣就會很快的定位到我們想要找的邏輯地方：

當然我們還有一個重要點就是Android中的Log資訊，因為在一個大的專案中，會有多人開發，所以每個模組每個人開發，每個人都會除錯資訊，所以就會新增一些log資訊，但是不是所有的人都會記得在專案釋出的時候關閉專案中的所有log資訊，這個也是我們在專案開發的過程中不好的習慣。這時候我們就可以通過程式執行起來之後，會列印一些log資訊，那麼我們可以通過這些資訊獲取突破點，Android中的log可以根據一個應用來進行過濾的，或者我們可以通過log資訊中的字串在jd-gui中進行全域性搜尋也是可以的。

2、程式碼的注入技術

在第一種方式中我們通過全域性搜尋一些關鍵的字串來找突破點，但是這招有時候不好使，所以這時候我們需要加一些程式碼了來觀察資訊了，這裡有一個通用的方法就是加入我們自己的log程式碼，來追蹤程式碼的執行邏輯，因為這裡講的是靜態分析技術，所以就用程式碼注入技術來跟蹤執行邏輯，後面介紹了動態分析技術之後，那就簡單了，我們可以隨意的打斷點來進行除錯。這裡的新增程式碼，就是修改smail程式碼，新增我們的日誌資訊即可，在下面我們會用例子來進行講解，這個也是我們最常用的一種技術。

3、使用系統的Hook技術，注入破解程式程式，獲取關鍵方法的執行邏輯

關於Android中的程式注入和Hook技術，這裡就不做詳細介紹了，不瞭解這些技術的同學可以轉戰：

注入技術：http://blog.csdn.net/jiangwei0910410003/article/details/39292117

Hook技術：http://blog.csdn.net/jiangwei0910410003/article/details/41941393

這兩篇文章介紹了這兩項技術，但是我們在實際操作過程中不用這兩篇文章中用到的方式，因為這兩篇文章只是介紹原理，技術還不是很成熟，關於這兩個技術，網上有兩個框架很成熟，也很實用，就是人們熟知的：Cydia和Xposed,關於這兩個框架的話，網上的資料太多了，而且用起來也很容易，這裡就不做太多的詳細介紹了。

我們在實際的破解的過程中，這種方式用的有點少，因為這種方式效率有點低，所以只有在特定的場景下會使用。

4、使用IDA來靜態分析so檔案

這裡終於用到了IDA工具了，本人是感覺這個工具太強大了，他可以檢視so中的程式碼邏輯，我們看到的的可能是彙編指令，所以這裡就有一個問題了，破解so的時候，我們還必須掌握一項技能，就是能看懂彙編指令，不然用IDA來破解程式，會很費經的，關於彙編指令，大學的時候，我們接觸過了，但是我們當時感覺這東西又難，而且用的地方也很少，所以就沒太在意，其實不然呀，真正懂彙編的人才是好的程式設計師：

看到些彙編指令，頭立馬就大了，不過這個用多了，破解多了，還是可以的。我們可以看到左邊欄中有我們的函式，我們可以找到指定函式的定義的地方進行檢視即可。其實IDA最強大的地方是在於他動態除錯so檔案，下一篇文章會介紹怎麼動態除錯so檔案。當然IDA可也是可以直接檢視apk檔案的：

可以檢視apk檔案中的所有檔案，我們可以選擇classes.dex檔案：

但是這裡我們可能會遇到一個問題，就是如果應用程式太大的話，這個開啟的過程中會很慢的，有可能IDA停止工作，所以要慢慢等啦：

開啟之後，我們可以看到我們的類和方法名，這裡還可以支援搜尋類名和方法名Ctrl+F，也可以檢視字串內容(Shirt+F12):

我們發現IDA也是一個分析Java程式碼的好手，所以說這個工具太強大了啦啦~~

四、案例分析

上面講解了靜態分析的破解技術，那麼下面就開始使用一個例子來看看靜態分析的技術。

第一、靜態分析Java(smail)程式碼

首先我們拿到我們需要破解的Apk,使用apktool.jar工具來反編譯：

java -jar apktool.jar d xxx.apk

這個apk很是容易就被反編譯了，看來並沒有進行任何的加固。那就好辦了，我們這裡來改一下他的AndroidManifest.xml中的資訊，改成可調式模式，這個是我們後面進行動態除錯的前提，一個正式的apk，在AndroidManifest.xml中這個值是false的。

我們看看他的AndroidManifest.xml檔案：

我們把這個值改成true.在回編譯，這時候我們就可以動態除錯這個apk了，所以在這點上我們可以看到，靜態分析是動態分析的前提，這個值不修改的話，我們是辦法進行後續的動態除錯的。

修改成功之後，我們進行回編譯：

cd C:\Users\jiangwei\Desktop\靜態分析\apktool_2.0.0rc4
del debug.sig.apk
java -jar apktool.jar b -d 123 -o debug.apk
java -jar .\sign\signapk.jar .\sign\testkey.x509.pem .\sign\testkey.pk8 debug.apk debug.sig.apk
del debug.apk
adb uninstall com.shuqi.controller
adb install debug.sig.apk
adb shell am start -n com.shuqi.controller/.Loading
pause

這裡是為了簡單，寫了一個批處理，首先進入到目錄，然後使用命令進行回編譯：

java -jar apktool.jar b -d sq -o debug.apk

sq是之前反編譯的目錄，debug.apk是回編譯之後的檔案

這時候，debug.apk是不能安裝執行的，因為沒有簽名，Android中是不允許安裝一個沒有簽名的apk

下面還要繼續簽名，我們用系統自帶的簽名檔案即可簽名：

java -jar .\sign\signapk.jar .\sign\testkey.x509.pem .\sign\testkey.pk8 debug.apk debug.sig.apk

注：其實我們在用IDE工具開發android專案的時候，工具就是用這個簽名檔案進行簽名的，只是這個過程IDE幫我們做了。

後面就是直接安裝這個apk,然後執行這個Apk。這個過程中我們只需要知道應用的包名和入口Activity名稱即可，這個資訊我們在AndroidManifest.xml中也是可以獲取到的，當然我們用：adb shell dumpsys activity top 命令也可以得到：

回編譯之後，我們執行程式，發現有問題，就是點選程式的icon，沒反應，執行不起來，我們在檢視log中的異常資訊，發現也沒有丟擲任何異常，那麼這時候，我們就判斷，他內部肯定做了什麼校驗工作，這個一般回編譯之後的程式執行不起來的話，那就是內部做校驗了，一般做校驗的話，有兩種：

1、對dex做校驗，防止修改dex的

2、對apk的簽名做校驗，防止重新打包

那我們就需要從新看看他的程式碼，來看看是不是做了校驗：

我們在分析程式碼的時候，肯定先看看他有沒有自己定義Application,如果有定義的話，就需要看他自己的Application類，這裡我們看到他定了自己的Application：com.shuqi.application.ShuqiApplication

我們解壓apk,得到dex,然後dex2jar進行轉化，得到jar，再用jd-gui檢視這個類：

這裡我們看到他的程式碼做混淆了，但是一些系統回撥方法肯定不能混淆的，比如onCreate方法，但是這裡我們一般找的方法是：

1、首先看這個類有沒有靜態方法和靜態程式碼塊，因為這類的程式碼會在物件初始化之前執行，可能在這裡載入so檔案，或者是加密校驗等操作

2、再看看這個類的構造方法

3、最後再看生命週期方法

我們這裡看到他的核心程式碼在onCreate中，呼叫了很多類的方法，猜想這裡的某個方法做工作了？

這時候我們就來注入我們的程式碼來跟蹤是哪個方法出現問題了，這裡有的同學有疑問，其實就這幾個方法，直接一個一個看不就結了，哎，我們這篇文章就是要介紹靜態分析技術，當然就需要做案例啦。

下面來看看我們怎麼新增我們的日誌資訊，其實很簡單，就是新增日誌，需要修改smail檔案，我們在去檢視smail原始碼：

關於smail語法，本人認為不是很難，所以大家自己網上去搜一些資料學習一下即可，這裡我們可以很清晰的看到呼叫了這些方法，那麼我們就在每個方法加上我們的日誌資訊，這裡加日誌有兩種方式，一種就是直接在這裡呼叫系統的log方法，但是有兩個問題：

1、需要匯入包，在smail中修改

2、需要定義一個兩個引數，一個是tag,msg,才能正常的列印log出來

明顯這個方法有點麻煩，這裡我們就自己定義一個MyLog類，然後反編譯，得到MyLog的smail檔案，新增到這個ShuqiApplication.smail的root目錄下，然後在程式碼中直接呼叫即可，至於為何要放到root目錄下，這樣在程式碼中呼叫就不需要匯入包了，比如SuqiApplication.smail中的一些靜態方法呼叫：

編寫日誌類MyLog，這裡就不貼上程式碼了，我們新建一個專案之後，反編譯得到MyLog.smail檔案，放到目錄中：

我們得到這個檔案的時候，一定要注意，把MyLog.smail的包名資訊刪除，因為我們放到root目錄下的，意味著這個MyLog類是沒有任何包名的，這個需要注意，不然最後加的話，也是報錯的。

我們在ShuqiApplication的onCreate方法中插入我們的日誌方法：

invoke-static {}, LMyLog;->print()V

但是我們在加程式碼的時候，需要注意的是，要找對地方加，所謂找對地方，就是在上個方法呼叫完之後新增，比如：

invoke-virtual,invoke-static等，而且這些指令後面不能有：move-result-object，因為這個指令是獲取方法的返回值，所以我們一般是這麼加程式碼的：

1、在invoke-static/invoke-virtual指令他的返回型別是V之後可以加入

2、在invoke-static/invoke-virtual指令返回型別不是V,之後的move-result-object命令之後可以加入

加好了我們的日誌程式碼之後，下面我們就回編譯執行，在這個過程可能會遇到samil語法錯誤，這個就對應指定的檔案修改就可以了，我們得到回編譯的apk之後，可以在反編譯一下，看看他的java程式碼：

我們看到了，我們新增的程式碼，在每個方法之後列印資訊。

下面我們執行程式，同時開啟我們的log的tag：adb logcat -s JW

看到我們列印的日誌了，我們發現列印了三個log,這裡需要注意的是，這裡雖然列印了三個log,但是都是在不同的程式中，所以說一個程式中的log的話，只列印了一個，所以我們判斷，問題出現在vr.h這個方法

我們檢視這個方法原始碼：

果然，這個方法做了簽名驗證，不正確的話，直接退出程式。那麼我們現在要想正常的執行程式的話，很簡單了，直接註釋這行程式碼：vr.h(this)

然後回編譯，在執行，果然不報錯了，這裡就不在演示了：

好了，上面就通過注入程式碼，來跟蹤問題，這個方法是很常用，也是很實在的。

第二、靜態分析Native程式碼

下面繼續來介紹一下，如何使用IDA來靜態分析native程式碼，這裡一定要熟悉彙編指令，不然看起來很費勁的。

我們在反編譯之後，看到他的onCreate方法中有一個載入so的程式碼

看看這個程式碼：

獲取密碼的方法，是native的，我們就來看看那個getDbPassword方法，用IDA開啟libpsProcess.so檔案：

我們看看這個函式的實現，我們一般直接看BL/BLX等資訊，跳轉邏輯，還有就是返回值，我們在函式的最後部分，發現一個重點，就是：BL __android_log_print  這個是在native層呼叫log的函式，我們在往上看，發現：tag是System.out.c

我們執行程式看起log看看，但是我們此時也可以在java層新增日誌的：我們全域性搜尋這個方法，在yi這個類中呼叫的

我們修改yi.smail程式碼：

回編譯，在執行程式，開啟log：

adb logcat -s JW

adb logcat -s System.out.c

發現，返回的密碼java層和native層是一樣的。說明我們靜態分析native還是有效的。

好了，到這裡我們今天的內容就介紹完了，當然還有很多靜態分析apk的方法，這裡只是介紹了本人用到的技術。

案例下載：http://download.csdn.net/detail/jiangwei0910410003/9308217

案例中有個說明檔案，執行前請閱讀~~

五、未解決的問題

1、如何搞定apktool工具反編譯出錯的問題

這個我在開始的時候也說了，這裡出錯的原因大部分是apk進行加固了，所以後面我會專門介紹一下如何解決這樣的問題

2、如何搞定讓一個Apk可以除錯

我們在上面看到一個apk想要能除錯的話，需要修改android:debug的值，但是有時候，我們會遇到修改失敗，導致程式不能執行，後面會專門介紹有幾種方式來讓一個釋出後的apk可以除錯

六、技術總結

這篇文章我們介紹瞭如何使用靜態方式去破解一個apk,我們在破解一個apk的時候，其實就是改點程式碼，然後能夠執行起來，達到我們想要的功能，一般就是：

1、註釋特定功能，比如廣告展示等

2、得到方法的返回值，比如獲取使用者的密碼

3、新增我們的程式碼，比如加入我們自己的監測程式碼和廣告等

我們在靜態分析程式碼的時候，需要遵循的大體路線：

1、首先能夠反編譯，得到AndroidManifest.xml檔案，找到程式入口程式碼

2、找到我們想要的程式碼邏輯，一般會結合介面分析，比如我們想得讓使用者登入成功，我們肯定想要得到使用者登入介面Activity,這時候我們可以用adb shell dumpsys activity top命令得到Activity名稱，然後用Eclipse自帶的程式當前檢視分析工具：得到控制元件名稱，或者是在程式碼中獲取layout佈局檔案，一般是setContentView方法的呼叫地方，然後用佈局檔案結合程式碼得到使用者登入的邏輯，進行修改

3、在關鍵的地方通過程式碼注入技術來跟蹤程式碼執行邏輯

4、注意方法的返回值，條件判斷等比較顯眼的程式碼

5、對於有些apk中的原始碼，可能他有自己的加密演算法，這時候我們需要獲取到這個加密方法，如果加密方法比較複雜的話，我們就需要大批的測試資料來獲取這個加密方法的邏輯，一般是輸入和輸出作為一個測試用例，比如阿里安全第一屆比賽的第一題就可以用靜態分析的方式破解，它內部就是一個加密演算法，我們需要用測試資料來破解。

6、對於那些System.loadLibrary載入so檔案的程式碼，我們只需要找到這個so檔案，然後用IDA開啟進行靜態分析，因為有些apk中把加密演算法放到了so中了，這時候我們也可以通過測試資料來獲取加密演算法。

7、通過上面的例子，我們可以總結一個方式，就是現在很多apk會做一些校驗工作，一般在程式碼中包含：“signature”字串資訊，所以我們可以全域性搜尋一下，也許可以獲取一些重要資訊。

六、總結

這篇文章總算是講解完了，其實早就想用寫破解的文章了，因為破解比加固有意思，至少破解成功了有成就感。這篇文章主要介紹瞭如何通過靜態分析方式破解，介紹了一些工具的時候，破解流程和破解技巧。最常用的就是程式碼注入技術和全域性搜尋關鍵字串等方式，但是我們可以看到，現在市面上的很多apk，光通過靜態分析是無法滿足我們的破解需求了，所以動態分析方式就來了，而且動態方式破解難度會很大，需要掌握的東西也很多，我後面會分幾篇文章來一一介紹動態破解的技巧和常見的問題。但是靜態方式破解也是很重要的。當然也是動態分析的前提，所以我們既然玩破解，那麼這兩種技術都必須很好的掌握。